【新星计划】你真的了解计算机病毒吗?

计算机病毒与计算机相伴生的东西,它对计算机的安全构成一定的威胁,一旦病毒计算机遭到病毒入侵,轻则导致病毒介绍

  • 预防病毒
  • 结语
  • 病毒介绍

    在生物学上,病毒是一个低级的生命体, 在信息系统安全保护条例》第二十八条

    • 计算机病毒结构

    一般由引导模块、传染模块、表现模块三部分组成。

    引导模块     引导代码 传染模块     传染条件判断              传染代码 表现模块      表现及破坏条件判断               破坏代码   	 
    • 病毒分类(按照宿主分类)
      (1)引导型病毒
      引导区型病毒侵染软(硬、优)盘中的“主引导记录”
      (Master Boot Record,0柱面0磁头1扇区)
      解释:引导型病毒是放在引导型扇区里面,在计算机中都有个0柱面0磁头1扇区特殊的记录,是计算机开机的重要文件,病毒把Master Boot Record代码修改之后,在计算机开机的时候可能就会先激活病毒。
      (2)文件型病毒
      通常它感染各种可执行文件、有可解释执行脚本的文件、可包含宏代码的文件。每一次它们激活时,感染文件把病毒代码自身复制到其他文件中。
      (3)混合型病毒
      混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。

    • 经典实例:

    宏病毒

    1.病毒是一种使用宏编辑语言编写的病毒,主要寄生于Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,从而感染所有自动保存的文档。如果网络上其他用户打开感染病毒的文档,宏病毒就会转移到他的计算机上。
    宏病毒通常使用VB脚本,影响微软的Office组建或类似的应用软件,大多通过邮件传播。
    在我们计算机的Word文档中就可以找到宏,
    【新星计划】你真的了解计算机病毒吗?
    2.宏病毒的工作原理:
    【新星计划】你真的了解计算机病毒吗?
    3.宏病毒的特点:
    (1)感染数据文件。一般病毒只感染程序,而宏病毒专门感染数据文件。
    (2)多平台交叉感染。当Word、Excel这类软件在不同平台(如Windows、OS/2和MacinTosh)上运行时,会被宏病毒交叉感染。
    (3)容易编写。宏病毒以源代码形式出现,所以编写和修改宏病毒就更容易了。这也是宏病毒的数量居高不下的原因。
    (4)容易传播。只要打开带有宏病毒的电子邮件,计算机就会被宏病毒感染。此后,打开或新建文件都会感染宏病毒。
    4.宏病毒的预防
    防治宏病毒的根本在于限制宏的执行。
    (1)禁止所有宏的执行。在打开Word文档时,按住Shift键,即可禁止自动宏,从而达到防治宏病毒的目的。
    (2)检查是否存在可疑的宏。若发现有一些奇怪名字的宏,肯定就是病毒无疑了,将它立即删除即可。即便删错了也不会对Word文档内容产生任何影响。具体做法是,选择【工具】【| 宏】命令,打开【宏】对话框,选择要删除的宏,单击【删除】按钮即可。
    (3)按照自己的习惯设置。重新安装Word后,建立一个新文档,将Word的工作环境按照自己的使用习惯进行设置,并将需要使用的宏一次编制好,做完后保存新文档。这时候的Normal.dot模板绝对没有宏病毒,可将其备份起来。在遇到宏病毒时,用备份的Normal.dot模板覆盖当前的模板,可以消除宏病毒。
    (4)使用Windows自带的写字板。在使用可能有宏病毒的Word文档时,先用Windows自带的写字板打开文档,将其转换为写字板格式的文件保存后,再用Word调用。因为写字板不调用、不保存宏,文档经过这样的转换,所有附带的宏(包括宏病毒)都将丢失。
    (5)提示保存Normal模板。选择【工具】【| 选项】命令,在【选项】对话框中打开【保存】选项卡,选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档,退出Word时,Word就会出现“更改的内容会影响到公用模板Normal,是否保存这些修改内容?”的提示信息,此时应选择“否”,退出后进行杀毒。
    (6)使用.rtf和.csv格式代替.doc和.xls。因为.rtf和.csv格式不支持宏功能,所以交换文件时候,用.rtf格式的文档代替.doc格式,用.csv格式的电子表格代替.xls格式。这样就可以避免宏病毒的传播。
    5.宏病毒的清除
    (1)手工清除。选取【工具】【| 宏】命令,打开【宏】对话框,单击【管理器】命令按钮,打开【管理器】对话框,选择【宏方案项】选项卡,在【宏方案项的有效范围】下拉列表中选择要检查的文档,将来源不明的宏删除。退出Word,然后到C盘根目录下查看有没有Autoexec.dot文件,如果有这个文件就删除,再找到Normal.dot文件,删除它。Word会自动重新生成一个干净的Normal.dot文件。到目录 C:Program FilesMicrosoft OfficeOfficeStartup 下查看有没有模板文件,如果有而且不是用户自己建立的,则删除它。重启Word,这时Word已经恢复正常了。
    (2)使用专业杀毒软件。目前的专业杀毒软件都具有清除宏病毒的能力。但是如果是新出现的病毒或者是病毒的变种则可能不能正常清除,此时需要手工清理.

    蠕虫

    1.定义:
    蠕虫(Worm)是一种通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。
    2. 蠕虫病毒的基本结构和传播过程
    蠕虫的基本程序结构包括以下三个模块
    (1)传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。
    (2)隐藏模块:浸入主机后,隐藏蠕虫程序,防止被用户发现。
    (3)目的功能模块:实现对计算机的控制、监视或破坏等功能。
    蠕虫程序的一般传播过程为:
    (1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
    (2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
    (3)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
    由此可见,传播模块实现的实际上是自动入侵的功能,所以蠕虫的传播技术是蠕虫技术的核心。
    3.蠕虫病毒实例——震荡波
    震荡波(Worm.Sasser)是一种危害性很强的蠕虫病毒,主要是利用微软的MS04-01漏洞入侵计算机,主要影响Windows 2000/NT/XP/2003系统。
    震荡波病毒的发作过程主要是,首先随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,若该计算机存在MS04-01漏洞,将会自动运行后门程序,打开9996端口,然后使远程计算机连接病毒打开的FTP端口5554,下载病毒并运行。病毒运行后,将自身复为%WinDir%napatch.exe,并在注册表启动项 HKEYLOCALMACHINESOFTWAREMicrosoftWin⁃dowsCurrentVersionRun下创建:”napatch.exe”=%WinDir%napatch.exe;这样,病毒在Windows启动时就可以自动运行。另外,病毒还会利用漏洞攻击LSASS.EXE进程,使该进程瘫痪,Windows系统会在1分钟倒计时结束时重新启动。同时在C:win2.log中记录其感染的计算机数目和IP地址。
    病毒感染的症状是进程中出现avserve.exe 和*****_up.exe(为0-65535之间的随机数字),占用大量的资源。出现LSAShell错误。导致系统进程lsass.exe错误,强迫计算机重启等。应对措施是下载并断网安装微软的安全更新KB837001,KB828741,KB835732。终止avserve和_up进程,并删除注册表中与avserve和_up相关的健值。当然也可以下载专杀工具进行杀毒 。

    木马

    1.定义:
    木马全称为特洛伊木马(Trojan Horse,英文则简称Trojan),在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,同时又含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为计算机病毒。
    2.木马病毒工作原理
    一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而【新星计划】你真的了解计算机病毒吗?
    【新星计划】你真的了解计算机病毒吗?
    【新星计划】你真的了解计算机病毒吗?

    预防病毒

    病毒预防

    1.对病毒的预防在病毒防治工作中起主导作用,是病毒防治的重点,主要针对病毒可能入侵的系统薄弱环节加以保护和监控。预防计算机病毒要从以下几个方面着手。
    (1)检查外来文件。对于网络上下载的或者外部存储器中的程序和文档,在执行或打开文档之前,一定要检查是否有病毒。
    (2)局域网预防。尽可能选择无盘工作站。限制用户对服务器上可执行文件的操作。使用抗病毒软件动态检查使用中的文件。
    (3)使用确认和数据完整性工具。
    (4)周期性备份工作文件。
    2.网络病毒的防治相对单机病毒的防治具有更大的难度。目前,网络大都采用Client/Server(客户机/服务器)的工作模式。防治网络病毒需要从服务器和工作站两个主要方面并结合网络管理着手解决。
    (1)在网络管理方面进行防治
    ——制定严格的工作站安全操作规程。
    ——建立完整的网络软件和硬件的维护制度,定期对各工作站进行维护。
    ——建立网络系统软件的安全管理制度。
    ——设置正确的访问权限和文件属性
    (2)基于工作站的防治方法
    工作站是网络的门,只要将这扇门关好,就能有效地防治病毒入侵。可以使用单机反病毒软件、防病毒卡以及工作站防病毒
    芯片。
    (3)基于服务器的防治方法
    服务器是网络的核心,一旦服务器被病毒感染,就会使整个网络陷于瘫痪。目前,基于服务器的防治病毒方法一般采用NLM
    (Netware Loadable Module)技术进行程序设计,以服务器为基础,提供实时扫描病毒能力。其优点主要表现在不占用工作站的内存,可以集中扫毒,能实现实时扫描功能,以及软件安装和升级都很方便等方面。
    病毒的入侵必将对系统资源构成威胁,即使良性病毒也要侵吞系统的宝贵资源,所以防治病毒入侵远比病毒入侵后再加以清除更为重要。抗病毒技术必须建立“预防为主,消灭结合”的基本观念。

    检测病毒

    检测计算机上是否被病毒感染,通常可以采用手工检测和自动检测。
    ——手工检测是指通过一些工具软件(比如Debug.com、Pctools.exe等),对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测,通过与正常状态进行对比来判断是否被病毒感染。虽然该方法操作复杂,易出错且效率低,但是该方法可以检测和识别未知病毒,以及检测一些自动检测工具不能识别的新病毒。
    ——自动检测是指通过一些诊断软件和杀毒软件,来判断一个系统或磁盘是否有病毒,如使用瑞星、金山毒霸等软件。虽然该方法可以方便检测大量病毒且操作简单,但是自动检测工具只能识别已知的病毒,而且它的发展总是滞后于病毒的发展。对病毒进行检测可以采用手工方法和自动方法相结合的方式。检测病毒的技术和方法主要有以下几种。

    1. 比较法
      比较法是将原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单、方便,不需要专用软件。缺点是无法确认计算机病毒的种类和名称。由于要进行比较,保存好原始备份就非常重要了,制作备份时必须在无计算机病毒的环境下进行,制作好的备份必须妥善保管,贴上标签,并加上写保护。
    2. 特征代码法
      特征代码法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的的计算机病毒,这种计算机病毒扫描软件称之为Virus Scanner。该方法优点是检测准确快速、可识别病毒的名称、误报警率低,依据检测结果可做解毒处理。缺点是不能检测未知病毒,且搜集已知病毒的特征代码费用开销大,在网络上效率低。
    3. 分析法
      分析法是防杀计算机病毒不可缺少的重要技术,该方法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用,以及与计算机病毒相关的各种知识。除此之外,还需要反汇编工具、二进制文件编辑器等用于分析的工具程序和专用的实验计算机。分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析,了解计算机病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,并将计算机病毒感染文件的过程翻转为清除计算机病毒、修复文件的过程。动态分析是指,利用DEBUG等调试工具在内存带毒的情况下,对计算机病毒做动态跟踪,观察计算机病毒的具体工作过程,以进一步在静态分析的基础上理解计算机病毒的工作原理。
    4. 校验和法
      计算正常文件的校验和,并将结果写入此文件或其他文件中保存。在文件使用过程中或使用之前,定期检查文件的校验和与原来保存的校验和是否一致,从而可以发现文件是否被感染,这种方法称为校验和。该方法优点是方法简单,能发现未知病毒,也能发现被检查文件的细微变化。缺点是会误报警,不能识别病毒名称,不能对付隐蔽型病毒。
    5. 行为监测法
      行为监测法是利用病毒的特有行为特征性来监测病毒的方法。监测病毒的行为特征如下。
      ——占有INT 13H所有的引导型病毒,都攻击Boot扇区或主引导扇区。
      ——修改DOS系统数据区的内存总量。
      ——对.com、.exe文件进行写入操作。
      ——病毒程序与宿主程序进行切换。
      行为监测法的优点是可发现未知病毒,能够相当准确地预报未知的多数病毒。行为监测法的缺点是会误报警,不能识别病毒
      名称,实现时有一定难度。
    6. 软件仿真扫描法
      该技术专门用于对付多态性计算机病毒,能够仿真CPU执行,在DOS虚拟机下伪执行计算机病毒程序,安全地将其解密,然后
      再进行扫描。
    7. 先知扫描法
      先知扫描技术就是将专业人员用来判断程序是否存在计算机病毒代码的方法,分析归纳成专家系统和知识库,再利用软件仿
      真技术伪执行新的计算机病毒,超前分析出新计算机病毒代码,用于对付以后的计算机病毒。
    8. 人工智能陷阱技术和宏病毒陷阱技术
      人工智能陷阱技术是一种监测计算机行为的常驻式扫描技术。其优点是执行速度快、操作简便,且可以检测到各种计算机病
      毒;缺点是程序设计难度大,且不容易考虑周全。
      宏病毒陷阱技术则是结合了特征代码法和人工智能陷阱技术,根据行为模式来检测已知及未知的宏病毒。
    9. 实时I/O扫描
      实时I/O扫描的目的在于即时对计算机上的输入/输出数据作病毒码比对,希望能够在病毒尚未被执行前,将病毒防御于门外。
    10. 网络病毒检测技术
      网络监测法是一种检查、发现网络病毒的方法。网络病毒的特点是通过网络进行传播,如果在服务器、网络接入端和网站设置病毒防火墙,可以起到大规模防止病毒扩散的目的。

    杀毒技术

    将染毒文件的病毒代码摘除,使之恢复为可正常运行的文件,称为病毒的清除。清除病毒所采用的技术称为杀毒技术。

    1. 引导型病毒的清除
      引导型病毒感染时一般攻击硬盘主引导区以及硬盘或移动存储介质的Boot扇区。一般使用FDISK/MBR可以清除大多数引导
      型病毒。
    2. 宏病毒的清除
      为了恢复宏病毒,须用非文档格式保存足够的信息。RTF(Rich Text Format)适合保留原始文档的足够信息而不包含宏。然后退出文档编辑器,删除已感染的文档文件以及Normal.dot和start-up目录下的文件。
    3. 文件型病毒的清除
      一般文件型病毒的染毒文件可以修复。当恢复受感染文件需要考虑下列因素。
      ——不管文件的属性,测试和恢复所有目录下的可执行文件。
      ——希望确保文件的属性和最近修改时间不改变。
      ——一定考虑一个文件多重感染的情况。
    4. 病毒的去激活
      清除内存中的病毒是指把RAM中的病毒进入非激活状态。这需要操作系统和汇编语言的知识。
    5. 使用杀病毒软件清除病毒
      计算机一旦感染病毒,一般用户首选是使用杀病毒软件来清除病毒。其优点是使用方便、技术要求不高,不需要具有太多的计算机知识。缺点是有时会删除带毒文件,可能导致系统不能正常运行,同时需要经常升级病毒代码库。

    结语

    计算机网络病毒防御是一项较为复杂的工作,为达到预期中的防御效果,应当对网络病毒的传播特性加以了解和掌握,并应用行之有效防御技术,降低病毒的入侵概率,为计算机的安全运行提供保障。 未来一段时期,应加大对网络病毒防御技术的研究力度,除对现有的技术和方法进行逐步优化之外,还应开发一些新的技术,从而使其更好地为计算机网络安全服务。

    本人一位网络安全的忠实爱好者,真心结交一些网络安全方面的朋友互相学习,感兴趣的可以加入网络安全交流群:1011885920。

    版权声明:玥玥 发表于 2021-05-27 1:11:34。
    转载请注明:【新星计划】你真的了解计算机病毒吗? | 女黑客导航